対策しても消えない、セキュリティの不安 「想定外の攻撃」を防ぐ、柔軟な診断サービスで“見落としのない対策”を実現するには

[PR／ITmedia]

PR

　今や連日のようにサイバー攻撃による被害が報じられている。それも、PCが使えなくなってちょっと困ったという事態にはとどまらない。機密情報を公開すると脅され、脅迫に応じざるを得ないケースや、ランサムウェアに重要なデータやシステムを暗号化されてしまい、業務や工場の操業を停止せざるを得ない事態にまで至るケースも報告されており、単なる情報システム部の問題にとどまらず、企業全体に関わる問題となっている。

　JPCERTコーディネーションセンターの調査によると、セキュリティインシデントの発生件数は急増している。内容はフィッシングサイトが約7割となっている。

出典：JPCERTコーディネーションセンター　JPCERT/CCインシデント報告対応レポート 2022年1月1日〜3月31日

出典：JPCERTコーディネーションセンター　JPCERT/CCインシデント報告対応レポート 2022年4月1日〜6月30日

　このようにサイバー攻撃が猛威を振るう背景には、コロナ禍をきっかけに、リモートワークの導入や非対面での取引が広がったことが挙げられる。デジタルトランスフォーメーション（DX）の進展という意味では歓迎すべき変化だが、攻撃者はこうした比較的守りの手薄な環境を狙ってサイバー攻撃を展開するようになった。さらに、ロシアによるウクライナ侵攻をきっかけに国家によるサイバーテロも活発化し、金銭目的のサイバー犯罪者もこの事態に便乗。グローバルに見てもサイバー攻撃が増加している。

　このように脅威のレベルが高まる中で、私たちはどのようにサイバー攻撃に備えていくべきだろうか。セキュリティ診断サービスを展開している三和コムテックが行った「情報セキュリティ調査」の結果を踏まえながら、ヒントを探っていこう。

攻撃と対策のいたちごっこ……不安を拭いきれない企業の姿が明らかに

　この調査は、三和コムテックが2022年7月に国内の企業600社を対象に実施したものだ。脅威が高まる中、セキュリティ診断をはじめとする対策の実施状況はどの程度進んでおり、どのような課題を抱えているかを把握するために実施した。

　まず「過去3年間に発生した情報セキュリティ被害・侵害」を尋ねたところ、最も多いのは「迷惑メール」で47.3％に上った。また「コンピュータウイルス・マルウェアへの感染」（28.3％）、「標的型攻撃」（23.0％）も無視できない比率に上っている。

三和コムテックの調査結果。セキュリティ診断を実施しても被害に遭うケースがある

　これに対し企業側が実施している対策は、「アンチウイルス対策ソフトの導入」（62.5％）、「メールセキュリティ」（53.8％）、そして「セキュリティ教育」（52.8％）が3本柱といえる。脆弱性診断・管理を実施している企業は37.7％という状況だ。

　このように、ある程度セキュリティ対策は実施しているものの、それでも「情報セキュリティ対策について不安を感じますか」という問いに、「不安を感じる」とした企業は25.2％、「どちらかといえば不安を感じる」は50.7％で、大多数が何らかの不安を抱いていることが明らかになった。興味深いのは、セキュリティ診断を実施している企業としていない企業で不安感に大差がなく、むしろ診断を実施している企業の方が不安や危機感を抱いていることだ。

セキュリティ診断を実施していても不安を感じている担当者が多い

　この背景について、三和コムテック 営業部 エマージングテクノロジーグループ シニアマネージャーの岡山大氏は、「サイバーセキュリティの攻撃と対策はいたちごっこの世界であり、攻撃者の側も、日々進歩するIT技術を悪用してきます。このため、普段からセキュリティを意識して診断を実施している企業ほど、サイバー攻撃の高度化を意識しているため『それでも大丈夫だろうか』という不安を拭いきれないのではないでしょうか」と指摘した。

　また、最近のサイバー攻撃の傾向の一つに、子会社やサプライチェーンを経由して侵入する手口が挙げられる。本社は強固な対策を取っていても、日常的にやりとりする取引先の対策が手薄な場合、そこが踏み台となって侵害され、機密情報などを盗み取られかねない。こうしたサプライチェーン攻撃のリスクが認識されるにつれ、取引先に一定水準以上の対策やコンプライアンスを求め、その一環でセキュリティ診断を依頼するケースも増えている。つまり、診断自体が「目的化」しているケースも増えており、それも調査結果に影響を与えている可能性がある。

自分たちにとっての「想定外」も洗い出し、診断することが重要に

　調査からも明らかになった通り、企業の多くはエンドポイントでのセキュリティ対策や従業員への教育を通して、マルウェアが添付されたメールやフィッシングメールに備えて対策を進めてきた。それにもかかわらず不安は消え去らない。

三和コムテックの岡山大氏

　その大きな理由として、岡山氏は「サイバー攻撃は、守る側が想定していない経路からやってくるケースが少なくありません。そのため、今見えている範囲だけで対策をしても果たして大丈夫なのかという懸念が残ります」と指摘する。

　例えば、フィッシングメール経由で侵入してくるケースは少なくないが、それと同等か、それ以上にリスクが高いのが、外部に公開されており不特定多数がアクセスしてくる「Webサイト」「Webアプリケーション」だ。もし自社のWebサイトなどに脆弱性が存在すれば、攻撃者にとっては格好のアタックサーフェイス（攻撃対象）となる。他にも、何らかの不満を抱いている内部関係者が業務情報を盗み出して売りさばいたり、転職の際の「お土産」にしたりする事件も発生している。

　「攻撃を受けるルートは非常に多岐にわたっています。自分たちが想定した部分だけを診断し、そこが大丈夫であればリスクがないかというと疑問が残るでしょう。自分たちが見落としている部分も含め、網羅的に診断していくことが重要なポイントです」（岡山氏）

　そして診断を行う際には、「自分たちにとって守るべき資産は何か」「もし重要な情報が盗まれたり、使えない状態になったりしたときにどのようなビジネスインパクトがあるか」を定義し、それらを脅かす「脅威」と照らし合わせながら、リスクベースで診断と対策を進めていくことが重要だと指摘した。

幅広いメニューを用意、柔軟に組み合わせ可能な診断サービス「SCT SECURE」

　こうした考え方に立ち、三和コムテックでは包括的なセキュリティ診断サービス「SCT SECURE」を提供している。

　もともと同社は、国内でWebアプリケーションの脆弱性のリスクが認識されるようになり始めた04年から、ツールを用いた自動診断サービスを提供してきた。さらに、ツールでカバーしきれない部分を補う、専門家による手動診断サービスに加え、海外の先進的なセキュリティベンダーと連携しながらサービスを拡大している。「特に、クレジットカード業界におけるセキュリティ基準『PCI DSS』に準拠している診断サービスでは、多くの実績があります」（岡山氏）

　SCT SECUREには、Webサイトやネットワーク機器に外部から悪用可能な脆弱性がないかを定期的に検査し、合格したWebサイトに安全証明マークを提供する「SCT SECURE クラウドスキャン」、ツールや手動での診断を通してモバイルアプリの脆弱性を見つけ出す「SCT SECURE モバイルアプリ診断サービス」といったメニューがある。

　さらに、攻撃者が自社のアカウント情報や機密情報を盗み出し、ダークウェブで売買していないかをOSINT（Open Source Intelligence）を用いて分析する「SCT SECURE OSINT サービス」、防御の網をすり抜けた脅威が社内で横展開（ラテラルムーブメント）を行い、重要な資産に到達できる可能性がないかを攻撃者の視点に立って確認し、標的型攻撃に備える「SCT SECURE インターナルスキャン」といった、現状をより深く調査するサービスも用意している。

　岡山氏は一連の診断サービスの特徴について、「柔軟かつ最適な組み合わせで提案できる」ことだと説明した。自動診断ツールは高頻度、低コストで診断を実施できるが、Webアプリケーションの作りによってはどうしてもチェックしきれない領域が残り、アプリケーションのロジック上の問題も検出が困難だ。一方、ホワイトハッカーによる手動診断では、細かく正確な診断が可能だが、その分時間もコストもかかってしまう。

　「個々の診断サービスの特徴を捉え、お客さまのニーズや診断の背景をくみ取った上で最適なものを組み合わせて提供します。さらにご要望に応じてその先の対策も提案し、コンサルティング的な役割も果たすことができます」（岡山氏）。さまざまなサービスをハイブリッドで組み合わせることでコスト的にも最適化が図れるという。

　例えば、新規にWebサービスを立ち上げるときには、手動ベースの診断で脆弱性を細かく洗い出して修正し、安全な状態にしてローンチできるように支援する。ただ、一度安全が確認されたからといって、未来永劫セキュアな状態が保てるわけではない。新たな脆弱性が日々発見される上に、機能の追加や改修に伴って脆弱性が作り込まれる可能性があるからだ。そこで、ローンチ後はツールによる診断を定期的に実施することで、コストパフォーマンスに優れた形でセキュリティを継続的に保てるよう支援していく、といった具合だ。

　また、サプライチェーンのセキュリティ対策として取引先からセキュリティ診断を求められた際には、業種ごとのセキュリティ標準や取引先から求められるレベルなどを踏まえて診断を実施し、Webアプリケーションファイアウォール（WAF）などの対策とともに提案するケースもあるという。

診断を通じて「見落としのない対策」を

　コロナ禍という背景もあり、今後もデジタル化は止まることなく進んでいくだろう。それは、ITが単なるツールではなく、ビジネスインフラとしての重要性を高めていくということでもある。「重要性が高まれば高まるほど、そこを攻撃してお金をもうけたり、不正を働いたりする攻撃者も出てきてしまいます。ビジネスインフラとしてのITを守り、事業を継続するためのセキュリティ対策の羅針盤として、セキュリティ診断のニーズは今後も高まっていくでしょう」（岡山氏）

　10年前ならば、いくらサイバー攻撃があっても「うちのような小さな企業は関係ない、大丈夫だ」と言えた中堅・中小企業も、サプライチェーン攻撃のリスクが高まる中でもはやそれは通用しない。取引先との関係を継続するためにも、セキュリティ診断を通して自社のシステムの安全性を示していく必要がある。

　三和コムテックでは、このように背景も企業規模も、そして予算や人的リソースもさまざまな企業に対し、事情に合わせた柔軟な診断ソリューションを提供し、対策を後押ししている。特に、「自分たちでできることはやったつもりだが、どこかに見落としや漏れはないだろうか」という不安を抱く企業に対し、専門家ならではの視点で網羅的に確認し、「想定外の攻撃を受けてやられてしまった」ということがないよう支援していく。